Anonimizzazione e Pseudonimizzazione, cosa significa l’uno e cosa significa l’altro? Quali sono le differenze?
Queste due definizioni si trovano spesso quando si parla di protezione dei dati personali, rappresentano infatti, alcune delle cosiddette “misure di sicurezza”, ma vediamo nel dettaglio di cosa stiamo parlando:
- i dati possono essere considerati “anonimizzati” quando gli interessati non sono più identificabili, tenendo conto di qualsiasi metodo ragionevolmente probabile che venga utilizzato per identificare l’interessato;
- Per “pseudonimizzazione” dei dati si intende invece, la sostituzione di eventuali caratteristiche identificative dei dati con uno pseudonimo, ovvero un valore che non consente di identificare direttamente l’interessato. Il GDPR e il Data Protection Act 2018 definiscono la pseudonimizzazione come il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’uso di informazioni aggiuntive.
Un dato reso anonimo cessa di essere considerato dato personale e dunque su di esso cessa l’applicazione del Regolamento Ue 679/16.
Il processo per rendere anonimi i dati è di per sé considerato un “trattamento”, quindi se un’organizzazione desidera rendere anonimi i dati personali per portarli al di fuori dell’ambito di applicazione della legge sulla privacy, deve essere fatto in modo equo, in conformità con la legge pertinente.
Ad esempio, nell’anonimizzazione dei dati, le organizzazioni sono ancora soggette al principio di “limitazione delle finalità”, previsto dall’articolo 5 del GDPR, cioè le organizzazioni dovrebbero informare gli interessati quando raccolgono dati personali se uno degli scopi della raccolta dei dati è anonimizzare i dati per un utilizzo futuro. In caso contrario, tale anonimizzazione potrebbe essere considerata un “ulteriore trattamento” dei dati per scopi diversi da quelli per i quali sono stati originariamente ottenuti.
Rendere anonimo un dato è più difficile di quanto previsto; anche se tutti gli identificatori diretti vengono eliminati da un set di dati, il che significa che gli individui non sono “identificati” nei dati, i dati saranno comunque dati personali se è possibile collegare gli interessati alle informazioni nel set di dati. Se i dati di origine non vengono cancellati al momento dell’anonimizzazione, il titolare del trattamento che conserva sia i dati di origine che i dati anonimizzati, sarà normalmente in grado di identificare le persone dai dati anonimizzati.
Se il titolare del trattamento conserva i dati grezzi, o qualsiasi chiave o altra informazione che possa essere utilizzata per invertire il processo di “anonimizzazione” e per identificare un interessato, l’identificazione da parte del titolare del trattamento deve essere considerata ancora possibile nella maggior parte dei casi. Pertanto, i dati non possono essere considerati “anonimizzati”, ma semplicemente “pseudonimizzati” e quindi rimangono dati personali e devono essere trattati solo in conformità con la legge sulla protezione dei dati.
Esistono, in linea di massima, due diverse famiglie di tecniche di anonimizzazione: la “randomizzazione” e la “generalizzazione”.
Le tecniche di randomizzazione comportano l’alterazione dei dati, al fine di tagliare il legame tra l’individuo e i dati, senza perdere il valore dei dati. Questi tipi di tecniche possono essere utilizzate quando non sono necessarie informazioni precise per lo scopo previsto dei dati resi anonimi. La randomizzazione può includere l’aggiunta di “rumore”, o piccole modifiche casuali, nei dati, per limitare la capacità di un intruso di collegare i dati a un individuo.
La generalizzazione, invece, comporta la riduzione della granularità dei dati, in modo che vengano divulgati solo i dati meno precisi. Ciò significa che sarà meno probabile che gli individui possano essere individuati, poiché è probabile che più persone condividano gli stessi valori. Ad esempio, un database contenente l’età degli interessati potrebbe essere adattato in modo da registrare solo la fascia di età in cui rientra un individuo
La legge sulla protezione dei dati non prescrive alcuna tecnica particolare per l’anonimizzazione, quindi spetta ai singoli titolari del trattamento garantire che qualunque processo di anonimizzazione scelgano sia sufficientemente solido. Di grande aiuto è il parere del gruppo di lavoro articolo 29 sulle tecniche di anonimizzazione (parere 05/2014), e in particolare l’allegato tecnico allo stesso per informazioni più dettagliate sulle tecniche di anonimizzazione che possono essere rilevanti.
